LangSmith の脆弱性 CVE-2026-25750 が FIX:API 設定不備とセッション情報の流出

Critical LangSmith Account Takeover Vulnerability Puts Users at Risk

2026/03/14 CyberSecurityNews — LangSmith に存在する深刻な脆弱性 CVE-2026-25750 を、Miggo Security の研究者たちが発見した。この脆弱性を悪用する攻撃者は、トークン窃取や完全なアカウント乗っ取りを引き起こす可能性がある。LangSmith は大規模言語モデルデータのデバッグおよび監視の中核プラットフォームとして機能し、毎日数十億件のイベントを処理する。そのため、この欠陥は、エンタープライズ AI 環境にとって極めて深刻なセキュリティ問題を引き起こす。

注記:読み手はパッチ未適用の状態:したがって危機は現在進行形⇒分法的に現在形。

この脆弱性は、LangSmith Studio 内の不適切な API コンフィグ機能に起因する。このプラットフォームは、柔軟な base URL パラメータを使用しており、フロントエンド・アプリケーションから異なるバックエンド API へと、開発者によるデータ取得先の指定を許す設計となっている。パッチ適用前のバージョンでは、ディスティネーション・ドメインに対するアプリケーションによる検証が欠落しており、それらの入力値が暗黙的に信頼されている。

この検証の欠落により、深刻なセキュリティ上のギャップが生じている。認証済みの LangSmith ユーザーが悪意の Web サイトへアクセスするシナリオや、攻撃者が制御する base URL をクリックするシナリオにおいて、API リクエストとセッション認証情報がブラウザから、攻撃者のサーバへと自動的に送信されてしまう。

LangSmith アカウント乗っ取り脆弱性

この脆弱性の悪用において、ユーザーに認証情報を入力させるという従来型のフィッシング手法は不要であり、被害者のアクティブなセッションを悪用する攻撃が、バックグラウンドで静かに実行される。

すでに侵害された正規 Web サイトや悪意の Web ページに、認証済みのユーザーがアクセスした時点で、この攻撃は開始される。攻撃者が制御するサーバを指すように細工された LangSmith Studio URL が、スクリプトを介してブラウザに読み込まれる。

The visual diagram illustrates the end-to-end flow of the Account Takeover attack (Source: Miggo)
The visual diagram illustrates the end-to-end flow of the Account Takeover attack (Source: Miggo)

その結果として被害者のブラウザは、本来のサーバではなく攻撃者のドメインへとアクティブ・セッションの認証情報を送信してしまう。攻撃者はセッション・トークンを取得または傍受し、トークンが自動的に失効するまでの約 5 分間で、アカウントを乗っ取ることが可能になる。

この AI 可観測性プラットフォームにおけるアカウント乗っ取りは、通常の不正アクセスを大きく超えるリスクを持つ。 LangSmith アカウントを掌握した攻撃者は、詳細な AI トレース履歴を閲覧できる。それらの履歴には、デバッグ目的で保存された実行データが含まれる場合が多い。

侵害に成功した攻撃者は、内部データベースから返された生データを読み取ることが可能となるため、プロプライエタリ・ソースコード/財務記録/機密顧客情報などが漏洩する可能性が生じる。さらに攻撃者は、 AI モデルの動作や組織の知的財産を定義する、システム・プロンプトへ到達する。また、乗っ取ったアカウントを悪用して、プロジェクト設定の変更や、重要な可観測性ワークフローの削除なども可能になる。

緩和策とアップデート

Miggo の報告によると、 LangChain は厳格な許可オリジン・ポリシーを実装することで、この脆弱性を修正したという。現在のプラットフォームでは、ドメインを API base URL として使用する前に、アカウント設定で信頼できるオリジンとして事前登録する必要がある。未承認の base URL リクエストは、自動的に拒否またはブロックされる。

2026年1月7日に公開された LangSmith Security Advisory によると、実環境における悪用インシデントは確認されていない。この脆弱性は、2025年12月15日の時点において、LangSmith Cloud 環境で完全に修正されているため、クラウド利用者は対応不要である。

その一方で、self-hosted 環境の管理者は、直ちに LangSmith version 0.12.71 へとアップグレードし、環境を保護する必要がある。また Helm chart を使用する環境では、langsmith-0.12.33 以降へと更新する必要がある。

LangSmith で見つかった CVE-2026-25750 は、データの取得先を開発者が自由に指定できる、base URL パラメータの仕様に起因します。この機能において、入力された接続先ドメインが正しいものどうかを確認する検証プロセスが欠けていたことで、アプリケーションが外部からの入力値を無条件に信頼してしまうという問題が生じています。この検証不足により、認証済みのユーザーが細工されたリンクを踏むだけで、ブラウザがセッション認証情報を攻撃者のサーバへ自動送信してしまうリスクが生じています。現在は、許可されたオリジン (信頼できるドメイン) のみを事前登録して制限する対策が取られています。ご利用のチームは、ご注意ください。